DoSECU 安全分析 3月9日消息:如今,安全已不再是企业内部独立实行的规则,如果安全专业人员想要在工作中取得成功就必须要了解业务涉及的更广泛的领域。同时,企业安全也需要对不断变化的技术趋势和经济环境做出适应。Forrester Research提供了建设IT安全策略的五个最佳秘诀。
端正对待风险的态度
在经济艰难时期,相对于用钱来缓解困境,企业管理者会更倾向于接受风险,他们相信并愿意利用风险中蕴藏的机遇,甚至有些人还希望风险不要在短时间内得到缓解。遇到风险的时候,安全领导者需要很快地站出来。实际上这是他们站出来利用机遇的最坏时候,因为你所在的企业在这样的时期更处于危险之中。内部欺骗和安全漏洞的威胁在经济每况愈下的时候也随之增多起来。对于员工来说,对失业的恐惧和为了给自己一些补偿等一己之见足以使一些员工在工作中偷工减料,或是为了满足自己的私欲,或是以此作为对公司的报复。
调整计划以适应长久的经济不确定性
对于较大的投资项目制定灵活的办法。无论是与其他厂商合作还是自己处理业务,在这样的时期,你需要将较大的项目划分成易于执行的小部分。在经济不景气时期,当你没有足够的预算或者资源来维持一个项目几个月时间的时候,这样做是很必须的。你必须灵活地进行调整,并且在短时间内投资。
资金用在刀刃上
从投资回报率的角度上看,将资金用在最安全的项目上很多人也许会不能接受。但是,有些项目在保持甚至提高安全性的同时也可以为企业创造收益,并且节约成本,这样何乐而不为?
采用信息生命周期的数据保护策略
持续不断的大规模数据破坏让许多安全专业人员都时刻保持着警觉,并且陷入被动的境地。许多人都在寻找快速的解决办法和一夜之间就可解决沉寂已久的问题的解决方案。加密对于数据保护来说就是很好的第一步,但是它对内部威胁或访问控制的违反行为则无济于事。信息生命周期管理过程就是很好的选择,是很全面的策略,但却有些耗时。首先需要对数据进行分级,最后需要相应地处理。对访问控制、数据保护和数据泄密的领域将会增加难度。最重要的是,信息生命周期管理策略可以适当地提升用户的安全意识,并且让用户成为数据保护的第一道防线。
尝试新模式 预见其中的风险
将数据管理外包出去是很普遍的现象。如果假设被外包出去的是非机密性数据,并且对企业构成的危险很小,那么这样的做法还可以。通过利用一些提供商,项目的花费可以减半。这样很多管理员看到了好处,他们听闻这样的做法后也希望把能把部分项目外包出去。但是,需要知道的是,被外包出去的数据中有的是相当重要的,并且一旦遭到破坏或是泄露出去,可以对企业的财务和名誉造成毁灭性的打击。这时候就需要安全对这些外包出去的数据做出是理性的判断。
接受变化的技术模式 防范隐私和保密
社交网络,博客和其他的Web 2.0技术拉近了人与人之间的距离,但是,却模糊了工作和个人生活的传统界限。针对社交网站用户的钓鱼攻击将会变得更为复杂。对于信息安全专业人员来说,应当帮们人们适当地运用这些社交工具,但是,也要利用社交网站来保护敏感的公司或个人信息。关键性质的第一步是建立政策来对员工进行教育和培训。此外,数据丢失防护工具、网络抓取工具和其他过滤器也可用于防止敏感信息通过这些渠道被泄露。
